古有智者云:“万物莫不相对,万物莫不相异”,同与异其实是对立面的统一,凡事并没有绝对的标准,一切的是非对错皆是相对而言,所谓盛极而衰、否极泰来。有时事件的逻辑看似走向单一,实则会在多个维度殊途同归。互联网暴露面上的日常攻防,也正是如此。身处其中之人,才可窥见妙门。
随着中国经济的崛起,中国互联网行业迎来了最好的机遇,经过二十年的高速发展已经深入并改变社会生活的各个方面,如:网上办公系统、视频会议系统、电话语音系统、互动式系统、门户型系统等极大地提高了企事业单位的办公效率。但同时,不断加大的信息系统建设投入使得企业中的IT资产数量迅速增加,网络规模爆炸式扩张。正所谓树大招风,数量众多的IT资产和庞大的网络规模,给企业资产管理工作带来了巨大挑战,也给信息系统安全带来了严重威胁。
愈演愈烈的网络安全威胁已经成为国家安全的新挑战,关键信息基础设施可能时时刻刻受到来自外界网络的各种安全威胁。国家层面,通过制定《中华人民共和国网络安全法》、《信息安全技术网络安全等级保护基本要求》等法律法规,在法律层面明确了关键基础设施信息安全的重要性、紧迫性以及建设参与单位需要承担的重要责任和法律义务。而在关键基础设施信息安全中,精准的资产管控是网络安全精细化管理的基础,互联网暴露面资产的网络安全管理又是重中之重。
目前,仍有大量企业采用人工录入的方式或者使用半本地化管理系统对互联网暴露面IT资产进行管理维护,缺乏主动发现新接入IT资产的技术手段,无法通过技术手段进行核查和管理,无法及时发现私自变更设备用途、私自部署软件、私开公网接口等问题。因此关键基础设施责任相关企业只有通过建立有效的资产管控秩序,掌握完整、动态更新的资产档案信息,才能更有效的开展风险识别、风险分析和风险处置工作。
另一方面,针对拥有海量互联网暴露面IT资产的企业,开展漏洞风险检测工作也是一项巨大挑战。如何能够在短时间内对互联网暴露面的IT资产进行快速且准确的漏洞风险排查,最大限度的缩减漏洞风险影响窗口期,也成为了企业网络安全管理人员面临的一大挑战课题。
因此,互联网暴露面资产远程检测技术,对于推进通过远程扫描技术对IT资产进行检测,建立完整且及时的企业互联网暴露面IT资产信息库、风险库,提升各运营商对在暴露面资产安全风险的掌控力度具有重要价值。
互联网暴露面资产直接面向外部攻击者的威胁。相对于企业内部资产,所面临的安全风险更高。如何快速、准确的掌握互联网资产变化情况,高效的感知资产安全状态成为了互联网资产安全管理工作的重要工作内容。
现阶段
三大常见困惑
1. 如何准确的探知暴露面资产上有些什么?
2. 如何精准的识别暴露面资产特征指纹?
3. 如何及时的检测存在漏洞的暴露面资产?
互联网暴露面资产存在一定的共性:已接入互联网,遵循并实现了TCP/IP协议栈。但是不同厂商、不同的平台在基于相同标准实现过程中,存在或多或少的差异。这就为我们进行资产类型识别提供了可能。我们将这些差异,称为不同厂商、不同平台、不同类型、不同版本资产的指纹信息。通过积累指纹信息,逐步形成“指纹库”,基于这些指纹信息,我们就可以识别资产的“厂商”、“操作系统”、“操作系统版本”、“资产监听服务类型及其版本”。
《GBT 20984-2007 信息安全技术信息安全风险评估规范》中,对于资产的定义为“对组织有价值的信息或资源,是安全策略保护的对象”,所以暴露面资产的本质是信息和资源,它不仅仅包含作为固定资产的主机与服务器,还包括IP资源,以及运行于主机与服务器上的Web服务、文件服务器、OA系统,ERP系统、CRM系统等。
面对暴露面资产的特殊性,其管理关注的也不仅仅限于资产的归属、运行状况,还包含了暴露面资产安全关注的风险、资产的变更情况以及资产的运行状况。基于我们已经获取到的操作系统信息、服务及其版本信息、服务使用框架信息(如:Java、Struts),通过应用软件产品类型、版本或者OVAL特征适配,我们就可以判断该资产上是否存在漏洞。
在新的网络安全形势下,已有的针对暴露面资产的安全监控及防护手段,存在着极大的不足和滞后性,缺少高效精准的技术手段了解这些系统和设备开放的组件、服务和端口情况,以至于在出现严重漏洞时既不知道是否受影响,也不知道影响范围程度。
2.1 、暴露面资产发现与识别方案
通过暴露面资产发现与识别,用户可探测暴露面资产各操作系统、应用服务、工控设备、物联网设备以及移动设备等,设备整体情况尽收眼底。对于每类、每个设备,用户可从地理位置、网络层服务和应用层系统的对应关系一目了然地掌握设备的社会信息和基础关联信息。
暴露面资产发现与识别可以由以下五个模块组成:暴露面资产发现调度中心、暴露面资产发现采集中心、暴露面资产发现分析中心、暴露面资产IP/端口自学习、暴露面资产IP指纹爬取引擎。暴露面资产发现与识别的业务实现流程如图1所示:
图1 暴露面资产发现与识别的业务流程
暴露面资产扫描技术特点采用异步无状态扫描技术,可快速获取到暴露面存活资产,扫描速度远超过传统端口扫描器;对扫描探测资产采用针对性的轻量级探测策略,如同正常网络访问,不影响正常业务运行。另外,通过对扫描探测任务进行拆分,在资产发现行扫描时,将扫描IP列表、端口探测等拆分,打乱顺序扫描,设定不确定的间隔进行扫描,完成后重新组合,避免被扫描设备的安全防御机制所阻断。传统的端口扫描器对防火墙开放端口存在大量的误报,但是可以通过技术手段解决误报问题,提高资产探测结果准确性:
分片:将可疑的探测包进行分片处理。某些简单的防火墙为了加快处理速度可能不会进行重组检查,以此避开其检查。
IP诱骗:在进行扫描时,将真实IP地址和其他主机的IP地址混合使用,以此让目标主机的防火墙或IDS追踪检查大量的不同IP地址的数据包,降低其追查到自身的概率。注意,某些高级的IDS系统通过统计分析仍然可以追踪出扫描者真实IP地址。
IP伪装:将自己发送的数据包中的IP地址伪装成其他主机的地址,从而目标机认为是其他主机在与之通信。需要注意,如果希望接收到目标主机的回复包,那么伪装的IP需要位于统一局域网内。另外,如果既希望隐蔽自己的IP地址,又希望收到目标主机的回复包,那么可以尝试使用idle scan或匿名代理(如TOR)等网络技术。
扫描延时:某些防火墙针对发送过于频繁的数据包会进行严格的侦查,而且某些系统限制错误报文产生的频率,所以,定制该情况下发包的频率和发包延时可以降低目标主机的审查强度、节省网络带宽。
扫描发包计算:远程资产发现设备还提供多种规避技巧,比如指定使用某个网络接口来发送数据包、指定发送包的最小长度、指定发包的MTU、指定TTL、指定伪装的MAC地址、使用错误检查。
2.2 、暴露面资产漏洞检测方案
2.2.1 漏洞威胁预警
漏洞威胁预警指已经通过各种途径被披露的通用漏洞,攻击者通常会利用这些漏洞,快速研发自动化攻击工具,对存在这些漏洞的暴露面资产进行攻击,而造成企业暴露面资产损失。企业获取这些漏洞信息并不及时,所以即使官方已经针对这些漏洞发布漏洞补丁,也未能及时对系统进行修复。
为及时解决企业在漏洞情报信息获取不及时方面的缺失,可以通过漏洞情报共享平台提供的漏洞情报信息,与暴露面资产应用软件产品类型、版本或者OVAL特征适配,第一时间内获知暴露面资产漏洞威胁预警。
2.2.2 漏洞检测
在具备漏洞情报共享平台通报漏洞威胁情报的能力之外,应进行无损漏洞检测程序的开发,完成对资产风险扫描和评估。暴露面资产漏洞检测流程如图2所示:
图2 暴露面资产漏洞检测流程
在全量暴露面资产中进行针对性的漏洞检测,可以在最快的时间进行漏洞定位,以便管理人员可以更有针对性的进行漏洞的修复操作。通过暴露面资产漏洞检索方案,第一时间检测出全部资源可能遭受某种已知或未知漏洞影响的范围,受影响资源的分布以及受影响的关键特征等,攻防局势尽在掌握。同时提供详细的报表报告,资产漏洞数据支持,足以支撑企业的资产相关决策。
互联网暴露面资产的安全是网络安全管理工作中的重中之重,各大型企业都对其投入了巨大的技术和管理支撑,远程检测技术也成为了其中最为核心的技术要求能力之一。但随着业务和技术的不断演进发展,企业需要向用户提供更加丰富的业务能力、更加优质的用户体验,这同时也使得互联网暴露面资产的安全风险更加严峻,企业责任更加重大。因此,企业互联网暴露面资产的远程检测技术仍将是最值得关注和研究的重要技术领域。
网络发展的同时也伴随着更多更高级的网络攻击在威胁着网络和信息安全,攻击行为逐渐变得更加难以捕获,为了应对日益严峻的安全攻势,需要以资产为基础,引入安全威胁情报,叠加风险、能力、事件等安全信息,逐步形成安全态势感知能力,能够有效的对未知安全事件进行及时和准确地发现。